Shadow AI

“ลองให้ ChatGPT สร้าง Sheet ข้อมูลให้สิ แป๊บเดียวก็เสร็จแล้ว!”

“ให้ ChatGPT เช็คโค้ดส่วนนี้สิ AI Assistant เขียนโค้ดให้ปลอดภัยได้หน่า”

ประโยคแบบนี้หลายคนคงเคยได้ยินกันบ่อยๆ หรืออาจจะเผลอพูดออกไปเองด้วยซ้ำ มันฟังดูเป็นทางออกที่รวดเร็วทันใจ ช่วยให้งานเดินหน้าฉิว แต่รู้ไหมว่าประโยคแค่ไม่กี่คำนี้กำลังสร้าง “จุดบอด” รูใหญ่เบิ้มให้กับการดูแลความปลอดภัยของข้อมูลในองค์กร

สิ่งนี้เราเรียกมันว่า “Shadow AI”

แล้ว …. Shadow AI คืออะไร? ทำไมต้องกังวลอะไรขนาดนั้น?

Shadow AI คือการที่พนักงานนำ AI อย่าง ChatGPT, Gemini, Claude หรือแพลตฟอร์ม AI อื่นๆ มาใช้ในงานจริงๆ ไม่ว่าจะเป็นการสรุปรายงาน, วิเคราะห์ข้อมูลทางการเงิน หรือแม้แต่ตรวจสอบ Source Code ของระบบที่กำลังพัฒนาอยู่ โดยที่ไม่ได้ผ่านความเห็นชอบจากแผนก IT หรือฝ่าย Information Security เลย

แน่นอนครับว่าพอมี AI เข้ามาช่วย งานที่ได้รับมอบหมายก็มักจะเสร็จเร็วขึ้น Productivity พุ่งกระฉูด ดูแล้วมีแต่ผลดีกับทั้งตัวเราและองค์กร แต่ตรงจุดนี้แหละที่เรามักจะมองข้ามไป

ลองนึกภาพตามผมนะครับ

- พนักงาน A กำลังใส่คำสั่งให้ AI สรุปรายการบัญชี Payroll สิ้นเดือนนี้

- พนักงาน B สงสัยว่า Source Code ที่พัฒนาขึ้นมาปลอดภัยพอไหม เลยโยนโค้ดส่วนนั้นให้ AI ช่วยตรวจสอบ

ภาพที่ 1: พนักงานกำลังใช้งาน AI ในการทำงาน

แต่สิ่งที่พนักงานทั้งสองคนนี้ไม่รู้เลย คือ “แพลตฟอร์ม AI ที่ใช้อยู่นั้นมีการควบคุมข้อมูลที่ป้อนเข้าไปอย่างไร” ซึ่งข้อมูลที่ป้อนไปนั้นล้วนเป็นอะไรก็ได้ ตั้งแต่ข้อมูลลูกค้า, ข้อมูลทางการเงิน หรือข้อมูลภายในองค์กรที่เป็นความลับสุดยอด ถ้าแพลตฟอร์ม AI เหล่านี้ไม่มีการควบคุมข้อมูลที่ดีพอ หรือมีความปลอดภัยที่หละหลวม ข้อมูลเหล่านี้ก็จะไม่เป็น “ข้อมูลภายใน” องค์กรอีกต่อไป!นอกจากนี้ รายงานล่าสุดจาก Varonis ปี 2025 ยังชี้ไว้ชัดเจนว่า “Shadow AI” กำลังเป็นปัญหาใหญ่ที่องค์กรทั่วโลกต้องเผชิญอยู่ โดย 98% ขององค์กรเหล่านี้มีพนักงานใช้แอปพลิเคชันที่ไม่ได้รับการอนุมัติ รวมถึง Shadow AI ในการประมวลผลข้อมูลสำคัญโดยไม่ได้รับการควบคุม

ภาพที่ 2: ผลการสำรวจของ Varonis ในหัวข้อ Shadow AI

ดังนั้น ปัญหาของมันไม่ได้อยู่แค่ว่า “ใช้ AI ได้รึปล่าว” แต่มันอยู่ที่ว่า “เราใช้ AI แบบไหน” และ “ใครรู้ถึงข้อมูลที่กำลังใช้อยู่” โดยเฉพาะอย่างยิ่ง โมเดล AI ที่มักจะมีคำตอบที่ “ไม่แน่นอน” และ “เปลี่ยนแปลง” ตลอด แถมยังมีโอกาสที่จะ “สร้างข้อมูลมั่วๆ ผิดเพี้ยน” (AI hallucination) หรือที่เราเรียกกันง่ายๆ ว่า “หลอน” ยิ่งทำให้การควบคุมข้อมูล และการประมวลผลยากขึ้นไปอีก

เพราะฉะนั้น เหตุการณ์ที่ข้อมูลสำคัญขององค์กรอาจถูกป้อนเข้าไปใน AI เหล่านี้ ทั้งโดยไม่ตั้งใจหรือโดยตั้งใจ (แต่ไม่ได้รับอนุญาต) ถือเป็นความเสี่ยงที่สำคัญมากๆ ที่ข้อมูลเหล่านั้นจะถูกประมวลผลหรือเก็บไว้ในระบบของบุคคลที่สาม หรือถูกนำไปใช้ในการฝึกฝน AI Model โดยที่องค์กรไม่ได้รับรู้หรือควบคุมใดๆ และแน่นอนว่านี่ย่อมส่งผลกระทบต่อความมั่นคงของข้อมูลอย่างหลีกเลี่ยงไม่ได้

ถ้าจะให้ยกเคสจริงที่เคยเกิดขึ้นมาก่อน ก็ต้องนึกถึงหนึ่งในค่ายโทรศัพท์ยักษ์ใหญ่ของเกาหลีอย่าง “Samsung” เลยครับ

เคสนี้เกิดขึ้นในปี 2023 เมื่อหนึ่งในพนักงานของ Samsung ดันอัปโหลด “โค้ดลับ” ของบริษัทเข้าไปใน ChatGPT โดยไม่ได้ตั้งใจ เพื่อให้ AI ช่วยปรับปรุงโค้ด ผลคือข้อมูลความลับของโค้ดดังกล่าวได้เข้าไปสู่ฐานข้อมูลในการฝึกฝน AI Model จน Samsung ถึงขั้นแทบจะแบนการใช้งาน ChatGPT ภายในองค์กรไปเลย

ภาพที่ 3: หัวข้อข่าวของ Samsung ในเกาหลี

เหตุการณ์นี้ตอกย้ำให้เห็นว่าพนักงานอาจไม่ตระหนักถึงความเสี่ยงของการนำข้อมูลภายในองค์กรไปใช้กับเครื่องมือ AI สาธารณะ และเมื่อข้อมูลได้รั่วไหลออกไปแล้ว การตามไปลบข้อมูลทีหลังแทบเป็นไปไม่ได้เลย เพราะข้อมูลของเราอาจถูกรวมเข้ากับชุดข้อมูลอื่นๆ เพื่อใช้ในการฝึกฝน AI Model ไปแล้ว ทำให้ “สิ่งที่ควรเป็นความลับกลับไม่เป็นความลับอีกต่อไป”

แต่หากเคสนี้พนักงานไม่ได้ใช้ AI แพลตฟอร์มอย่าง ChatGPT ที่มีความปลอดภัยตามกฎหมายของสหรัฐฯ หรือนโยบายภายในของ OpenAI แต่กลับเป็นแพลตฟอร์ม AI อื่นๆ ที่ไม่มีที่มาที่ไป ซึ่งอาจเป็นแคมเปญของแฮกเกอร์ที่หลอกเก็บข้อมูลของผู้ใช้งาน เคสนี้ Samsung อาจจะเสียหายหนักมากๆ ในด้านธุรกิจ และชื่อเสียงถึงขั้นล้มละลายเลยก็เป็นไปได้

นอกจากเคสของ Samsung แล้ว ผลกระทบของ Shadow AI นั้น “แพง” กว่าที่คิดเยอะมากครับ ทั้งมีหลายด้าน และล้วนเป็นเรื่องใหญ่ๆ ทั้งนั้น:

เรื่องเงินๆ ทองๆ: ไม่ใช่แค่โดนค่าปรับมหาศาลจากกฎหมายคุ้มครองข้อมูลส่วนบุคคลอย่าง GDPR (General Data Protection Regulation) ในยุโรป หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคลในประเทศอื่นๆ อย่าง PDPA ของไทย แต่ยังรวมถึงความเสียหายทางธุรกิจจากการเสียเปรียบคู่แข่ง, การสูญเสียทรัพย์สินทางปัญญา หรือค่าใช้จ่ายมหาศาลในการกู้คืนระบบ และการจัดการกับข้อมูลที่รั่วไหลไปแล้วมักต้องใช้ทรัพยากรจำนวนมากในการตรวจสอบ, การแจ้งเตือนผู้ที่ได้รับผลกระทบ และการแก้ไขช่องโหว่ที่พบเจอบนข้อมูลนั้น
ชื่อเสียงยับเยิน: เมื่อข้อมูลลูกค้าหลุด ความน่าเชื่อถือของบริษัทก็จะหายไปทันที ลูกค้าหมดความมั่นใจ คู่ค้าหนีหาย กว่าจะกู้ชื่อเสียงกลับคืนมาได้ก็ไม่ใช่เรื่องง่ายๆ ชื่อเสียงที่สร้างสมมานานอาจพังทลายลงในพริบตา และส่งผลกระทบต่อความสามารถในการแข่งขันและภาพลักษณ์ขององค์กรในระยะยาว การฟื้นฟูความเชื่อมั่นต้องใช้เวลา ความพยายาม และการลงทุนมหาศาล
คดีความวุ่นวาย: องค์กรต้องรับผิดชอบตามกฎหมายเมื่อข้อมูลส่วนบุคคลรั่วไหล ซึ่งอาจนำไปสู่การฟ้องร้องทางกฎหมายและมีค่าใช้จ่ายสูง การถูกฟ้องร้องจากลูกค้าหรือหน่วยงานกำกับดูแลสามารถส่งผลกระทบอย่างรุนแรงต่อการดำเนินงานและงบประมาณขององค์กรได้

ภาพที่ 4: บริษัทโดนฟ้องและล้มละลายเพราะ “Shadow AI”

แล้วมันพอจะมีวิธีหรือแนวทางป้องกัน Shadow AI มั้ยนะ ?

จริงๆแล้วการป้องกัน Shadow AI เราไม่สามารถแก้ได้ด้วยขั้นตอนเดียว แต่ต้องทำแบบครบวงจร ทั้งนโยบายองค์กร , พนักงานในองค์กร และเทคโนโลยี เช่น

1. นโยบายที่ชัดเจนแจ่มแจ้ง

o องค์กรต้องมีกรอบการกำกับดูแล AI ที่ชัดเจนและครอบคลุม ซึ่งระบุถึงแนวทางการใช้งาน AI แพลตฟอร์มที่ได้รับอนุญาต, ประเภทของข้อมูลที่สามารถป้อนเข้า AI ได้ และมาตรการความปลอดภัยที่ต้องปฏิบัติตาม กรอบนี้ควรได้รับการปรับปรุงอย่างสม่ำเสมอตามการพัฒนาของเทคโนโลยี AI และข้อกำหนดทางกฎหมายต่างๆ

o มีนโยบายอย่าง “AI Acceptable Use Policy“ โดยเน้นการสร้างความเข้าใจและสื่อสารให้พนักงานทราบอย่างชัดเจนถึงข้อจำกัดและความเสี่ยงที่เกี่ยวข้องกับการใช้ AI โดยเฉพาะอย่างยิ่งเมื่อต้องจัดการกับข้อมูลที่เป็นความลับ หรือข้อมูลส่วนบุคคล

o อบรมและสร้างความตระหนักอย่างต่อเนื่องในหัวข้อของ Shadow AI เพื่อให้พนักงานเข้าใจถึงภัยคุกคามและรู้วิธีปฏิบัติตัวอย่างถูกต้อง

2. วิธีการด้านเทคนิค และเทคโนโลยี

o ใช้แนวคิดอย่าง Zero Trust และ Least Privilege คือการ “ไม่เชื่อถือระบบหรือผู้ใช้ใดๆ” และ “จำกัดสิทธิ์การเข้าถึงข้อมูลของพนักงานให้เท่าที่จำเป็นต่อการปฏิบัติงานเท่านั้น” แนวคิดนี้ช่วยลดความเสี่ยงที่ข้อมูลจะถูกเข้าถึงหรือนำไปใช้อย่างไม่เหมาะสม แม้ว่าบัญชีผู้ใช้งานจะแฮคไปแล้ว

o ใช้ Homomorphic Encryption (HE) หรือ Secure Multiparty Computation (SMC) ซึ่งช่วยให้ AI สามารถประมวลผลข้อมูลได้โดย “ไม่ต้องเห็นข้อมูลจริง” โดยอนุญาตให้ประมวลผลข้อมูลที่เข้ารหัสเท่านั้น ในขณะที่ Secure Multiparty Computation จะช่วยให้หลายฝ่ายสามารถประมวลผลข้อมูลร่วมกันได้โดยไม่จำเป็นต้องเปิดเผยข้อมูลของแต่ละฝ่าย

o การตรวจสอบพฤติกรรมพนักงาน (User Behavior Analytics — UBA) เพื่อเช็คว่าพนักงานเชื่อมต่อไปที่ Application ไหน และขอสิทธิ์มากเกินไปหรือไม่ นอกจากนี้ควรตรวจสอบปลั๊กอินหรือส่วนขยายที่ติดตั้งในเบราว์เซอร์ รวมถึงวิเคราะห์ทราฟฟิกขาออกของบริษัทเพื่อตรวจจับการไหลของข้อมูลที่ผิดปกติ ซึ่งอาจบ่งชี้ถึงการใช้งาน Shadow AI

3. เครื่องมือที่ช่วยตรวจจับ Shadow AI

o ใช้ Shadow AI Detection Platform เช่น Teramind หรือ UpGuard ซึ่งจะช่วยให้องค์กรสามารถตรวจสอบ (monitor) การใช้งาน AI แพลตฟอร์มในองค์กร และสามารถระบุการใช้งาน AI ที่ไม่ได้รับอนุญาตได้ โดยจะแจ้งเตือนไปยังฝ่าย IT เมื่อตรวจพบการใช้งานที่น่าสงสัย

o ใช้ Data Loss Prevention (DLP) เพื่อป้องกันการรั่วไหลของข้อมูลโดยการตรวจสอบและควบคุมข้อมูลที่ออกจากเครือข่ายขององค์กรไปยัง AI แพลตฟอร์มที่ไม่ได้รับอนุญาต หรือแพลตฟอร์มคลาวด์ที่ยังไม่ได้รับการอนุมัติ

ภาพที่ 5: การร่วมมือกันของทุกฝ่ายภายในองค์กร

จริงๆ แล้วปัญหาอย่าง Shadow AI ไม่ได้เป็นเพียงปัญหาทางด้านเทคนิคอย่างเดียว แต่มันคือปัญหาที่ต้องอาศัยความเข้าใจ, การสร้างความตระหนักรู้, และการจัดการอย่างจริงจังของทั้งองค์กร ถ้าหากไม่รีบลงมือจัดการ มันก็อาจจะกลายเป็นระเบิดเวลาที่รอวันระเบิดได้ทุกเมื่อ

แต่ในปัจจุบัน การนำ AI มาใช้ในองค์กรเป็นเรื่องที่หลีกเลี่ยงไม่ได้ในโลกยุคใหม่ เพียงแต่การใช้ AI โดยปราศจากการควบคุมย่อมนำมาซึ่งความเสี่ยงที่ไม่คุ้มค่าต่อการใช้งานเลย การสร้างสมดุลระหว่างนวัตกรรมและความปลอดภัยจึงเป็นสิ่งสำคัญที่มองข้ามไม่ได้เชียวล่ะครับ

แล้วตอนนี้องค์กรของ “คุณ” พร้อมรับมือกับ Shadow AI แล้วหรือยัง ?